基于組合模式的動態口令生成方法

基于組合模式的動態口令生成方法
【專利摘要】本發明涉及一種基于組合模式的動態口令生成方法，包括，獲得硬件令牌的系統時間，基于所述系統時間獲得所述硬件令牌當前系統時間的動態口令生成組合模式，所述動態口令生成組合模式包括靜態加時間同步模式、靜態加事件同步模式、靜態加挑戰應答模式、時間同步加事件同步模式、時間同步加挑戰應答模式、事件同步加挑戰應答模式，基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得合并口令，身份認證服務器對所述合并口令進行驗證。通過本發明，能夠提高動態口令的安全性能，避免動態口令被輕易破解，從而有效地保障了消費者和商家的經濟利益。
【專利說明】基于組合模式的動態口令生成方法

【技術領域】
[0001]本發明涉及電子鑒權領域，尤其涉及一種基于組合模式的動態口令生成方法。

【背景技術】
[0002]在網絡通信技術快速發展的今天，通過網絡進行電子支付已經成為時尚，而移動終端軟硬件的研發創新和物流業的蓬勃發展又為這一支付方式推波助瀾。通過電子支付，人們可以不用去各個商場實地考察，也不用在銀行長時間排隊等候取現，即可完成消費，在家接收購買的物品，為人們極大地節約了時間成本。科技的進步也是一把雙刃劍，在電子支付為人們提供便利的同時，也對支付的安全性提出了新的課題，由于支付是在網絡媒體上執行，也為熟悉網絡技術的不法分子提供了竊取用戶信息的機會。如何提高電子鑒權的可靠性，是眾多電子安全技術開發公司急需解決的技術問題。
[0003]當前，使用動態口令進行用戶身份驗證是電子支付中常用的鑒權手段。現有的動態口令的使用存在時間同步、事件同步和挑戰應答三種模式。時間同步產生的動態口令，硬件令牌和驗證服務器同步產生相同的動態口令，對硬件令牌和驗證服務器的時間同步性要求較高；基于事件同步的動態口令，其原理是通過某一特定的事件次序及相同的種子值作為輸入，通過HASH算法在硬件令牌和驗證服務器兩端運算出一致的密碼；挑戰應答模式的動態口令，接收服務端下發的挑戰碼，用戶在硬件令牌上輸入該挑戰碼，硬件令牌通過內置的算法上生成一個6/8位、一次有效的動態口令。
[0004]但是，動態口令的三種模式都是單獨使用，且每一種模式都有規則可循，一旦不法分子熟悉動態口令的生成模式后，通過截取大量老的動態口令，組成一個口令字典，還是能夠進行動態口令的破解，實現對身份認證系統的攻擊，給用戶和商家帶來一定的經濟損失。
[0005]因此，需要一種新的動態口令生成方法，在已有的生成動態口令的三種模式的基礎上，變換并組合動態口令的生成模式，使得破解人員難于獲得動態口令的生成規則，極大地提高電子支付的安全性和身份認證系統的可靠性。


【發明內容】

[0006]為了解決上述問題，本發明提供了一種基于組合模式的動態口令生成方法，通過將已有的三種生成模式進行組合，基于當前系統時間選擇不同的組合模式生成組合的動態口令，一方面，組合模式隨系統時間隨時改變，加大動態口令破解的難度，另一方面，組合模式在某一分鐘內是不變的，也避免動態口令生成模式頻繁改變給用戶帶來的不便，從而合理地提高了動態口令的安全性。
[0007]根據本發明的一方面，提供了一種基于組合模式的動態口令生成方法，所述動態口令生成方法包括:
[0008]步驟1:獲得硬件令牌的系統時間，所述系統時間包括日期信息、小時信息和分鐘信息；
[0009]步驟2:對所述日期信息、所述小時信息和所述分鐘信息進行第一預定算法計算，獲得綜合時間信息，所述綜合時間信息為一數字；
[0010]步驟3:取所述綜合時間信息的個位數字作為組合模式生成因子；
[0011]步驟4:根據第一預定對應關系基于所述組合模式生成因子獲得動態口令生成組合模式；
[0012]步驟5:基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得合并口令；所述硬件令牌的顯示器顯示所述合并口令；
[0013]步驟6:用戶將所述合并口令錄入到身份認證服務器的認證窗口中；
[0014]步驟7:身份認證服務器根據用戶錄入的合并口令對用戶身份進行認證；
[0015]步驟8:所述身份認證服務器向所述認證窗口返回認證結果；
[0016]其中，所述身份認證服務器根據用戶錄入的合并口令對用戶身份進行認證包括:所述身份認證服務器獲得所述身份認證服務器的系統時間，所述身份認證服務器的系統時間包括日期信息、小時信息和分鐘信息；對所述日期信息、所述小時信息和所述分鐘信息進行第二預定算法計算，獲得所述身份認證服務器的綜合時間信息，所述身份認證服務器的綜合時間信息為一數字；取所述身份認證服務器的綜合時間信息的個位數字作為所述身份認證服務器的組合模式生成因子；根據第二預定對應關系基于所述身份認證服務器的組合模式生成因子獲得動態口令生成組合模式；基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得所述身份認證服務器的合并口令；將所述身份認證服務器的合并口令與所述身份認證服務器接收到的用戶錄入的合并口令進行匹配，匹配成功則判斷用戶為合法用戶，匹配失敗則判斷用戶為非法用戶；
[0017]其中，所述動態口令生成組合模式包括靜態加時間同步模式、靜態加事件同步模式、靜態加挑戰應答模式、時間同步加事件同步模式、時間同步加挑戰應答模式和事件同步加挑戰應答模式；
[0018]其中，所述第一預定算法與所述第二預定算法的算法相同，所述第一預定對應關系與所述第二預定對應關系相同。
[0019]更具體地，所述基于組合模式的動態口令生成方法進一步包括，在用戶將所述合并口令錄入到身份認證服務器的認證窗口中之后，所述認證窗口設置預定時間窗口，在所述預定時間窗口內所述身份認證服務器未向所述認證窗口返回認證結果時，所述認證窗口提醒用戶重新輸入所述合并口令。
[0020]更具體地，所述基于組合模式的動態口令生成方法進一步包括，當所述身份認證服務器向所述認證窗口返回認證結果多次為非法用戶時，所述認證窗口鎖定，禁止用戶在當天繼續輸入所述合并口令。
[0021]更具體地，所述基于組合模式的動態口令生成方法進一步包括，所述第一預定算法為同或、異或、加法或減法運算中的一種。
[0022]更具體地，所述基于組合模式的動態口令生成方法進一步包括，所述第一預定對應關系為，當所述組合模式生成因子為O時，所述動態口令生成組合模式為靜態加時間同步模式，當所述組合模式生成因子為I或2時，所述動態口令生成組合模式為靜態加事件同步模式，當所述組合模式生成因子為3或4時，所述動態口令生成組合模式為靜態加挑戰應答模式，當所述組合模式生成因子為5或6時，所述動態口令生成組合模式為時間同步加事件同步模式，當所述組合模式生成因子為7或8時，所述動態口令生成組合模式為時間同步加挑戰應答模式，當所述組合模式生成因子為9時，所述動態口令生成組合模式為事件同步加挑戰應答模式。

【專利附圖】

【附圖說明】
[0023]以下將結合附圖對本發明的實施方案進行描述，其中:
[0024]圖1為根據本發明實施方案示出的基于組合模式的動態口令生成方法的方法流程圖。
[0025]圖2為根據本發明實施方案示出的基于動態口令的電子鑒權系統的結構方框圖。

【具體實施方式】
[0026]下面將參照附圖對本發明的基于組合模式的動態口令生成方法的實施方案進行詳細說明。
[0027]口令認證是最簡單，也是最常用的一種遠程身份認證方法。為了解決靜態口令可能出現的在傳輸中被盜用或在數據庫中被盜用等問題，同時為了有效地避免攻擊者的口令猜測和重試攻擊，動態口令應運而生。動態口令的主要思想是在用戶登錄過程中加入一些不確定因素，如時間、隨機數等，使得每次用戶登錄過程中傳送的信息都不同，從而抵御重試攻擊，提高登錄過程中的安全性。動態口令技術主要分兩種，即同步口令技術和異步口令技術，其中異步口令技術采用了挑戰應答方式，而同步口令技術又分為時間同步口令和事件同步口令。當前，以上三種主要生成方式生成的動態口令廣泛地應用于電子商務、電子郵件、無線接入、網絡設備登錄、網上銀行等多種網絡服務中，通過合法用戶的令牌和遠端服務器的合作，完成對使用者的電子鑒權。
[0028]時間同步口令，是基于令牌和服務器的時間同步，通過運算來生成一致的動態口令，基于時間同步的令牌，一般更新率為60秒，每60秒產生一個新口令，但由于其同步的基礎是國際標準時間，則要求其服務器能夠十分精確的保持正確的時鐘，同時對其令牌的晶振頻率有嚴格的要求，從而降低系統失去同步的幾率，從另一方面，基于時間同步的令牌在每次進行認證時，服務器端將會檢測令牌的時鐘偏移量，相應不斷的微調自己的時間記錄，從而保證了令牌和服務器的同步，確保日常的使用，但由于令牌的工作環境不同，在磁場，高溫，高壓，震蕩，浸水等情況下易發生時鐘脈沖的不確定偏移和損壞，故對于時間同步的設備進行較好的保護是十分必要的，對于失去時間同步的令牌，目前可以通過增大偏移量的技術(前后10分鐘)來進行遠程同步，確保其能夠繼續使用，降低對應用的影響，但對于超出默認(共20分鐘)的時間同步令牌，將無法繼續使用或進行遠程同步，必須送回服務器端另行處理。同樣，對于基于時間同步的服務器，應較好地保護其系統時鐘，不要隨意更改，以免發生同步問題，從而影響全部基于此服務器進行認證的令牌。
[0029]事件同步口令，其原理是通過某一特定的事件次序及相同的種子值作為輸入，在算法中運算出一致的密碼，其運算機理決定了其整個工作流程同時鐘無關，不受時鐘的影響，令牌中不存在時間脈沖晶振，但由于其算法的一致性，其口令是預先可知的，通過令牌，你可以預先知道今后的多個密碼，故當令牌遺失且沒有使用PIN碼對令牌進行保護時，存在非法登陸的風險，故使用事件同步的令牌，對PIN碼的保護是十分必要的。同樣，基于事件同步的令牌同樣存在失去同步的風險，例如用戶多次無目的的生成口令等，對于令牌的失步，事件同步的服務器使用增大偏移量的方式進行再同步，其服務器端會自動向后推算一定次數的密碼，來同步令牌和服務器，當失步情況經非常嚴重，大范圍超出正常范圍時，通過連續輸入兩次令牌計算出的密碼，服務器將在較大的范圍內進行令牌同步，一般情況下，令牌同步所需的次數不會超過3次。但在極端情況下，不排出失去同步的可能性，例如電力耗盡，在更換電池時操作失誤等。此時，令牌仍可通過手工輸入由管理員生成的一組序列值來實現遠程同步，而無需返回服務器端重新同步。
[0030]異步口令技術，采用了挑戰應答方式，在令牌和服務器之間除相同的算法外沒有需要進行同步的條件，故能夠有效的解決令牌失步的問題，降低對應用的影響，同時極大的增加了系統的可靠性。異步口令使用的缺點主要是在使用時，用戶需多一個輸入挑戰值的步驟，對于操作人員，增加了復雜度，故在應用時，將根據用戶應用的敏感程度和對安全的要求程度來選擇密碼的生成方式。
[0031]上述三種動態口令生成模式在一定程度上有效地保證了電子鑒權的準確度，但三種動態口令生成模式中的每一個模式的生成方式都是公知內容，熟悉密碼技術的不法分子通過有限次的嘗試，還是能夠獲得破解機會。為了解決現有動態口令生成模式固定而易破解的技術問題，本發明提出了一種基于組合模式的動態口令生成方法。
[0032]圖1為根據本發明實施方案示出的基于組合模式的動態口令生成方法的方法流程圖，所述動態口令生成方法包括以下步驟:
[0033]步驟101:獲得硬件令牌的系統時間，所述系統時間包括日期信息、小時信息和分鐘信息；
[0034]步驟102:對所述日期信息、所述小時信息和所述分鐘信息進行第一預定算法計算，獲得綜合時間信息，所述綜合時間信息為一數字；
[0035]步驟103:取所述綜合時間信息的個位數字作為組合模式生成因子；
[0036]步驟104:根據第一預定對應關系基于所述組合模式生成因子獲得動態口令生成組合模式；
[0037]步驟105:基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得合并口令；所述硬件令牌的顯示器顯示所述合并口令；
[0038]步驟106:用戶將所述合并口令錄入到身份認證服務器的認證窗口中；
[0039]步驟107:身份認證服務器根據用戶錄入的合并口令對用戶身份進行認證；
[0040]步驟108:所述身份認證服務器向所述認證窗口返回認證結果，當認證結果判斷用戶為合法用戶時，跳轉到步驟109，當認證結果判斷用戶為非法用戶時，跳轉到步驟110 ；
[0041]步驟109:所述認證窗口完成認證，進入用戶授權界面；
[0042]步驟110:所述認證窗口提示認證失敗，請求用戶再次輸入所述合并口令；
[0043]其中，步驟107還包括，所述身份認證服務器獲得所述身份認證服務器的系統時間，所述身份認證服務器的系統時間包括日期信息、小時信息和分鐘信息；對所述日期信息、所述小時信息和所述分鐘信息進行第二預定算法計算，獲得所述身份認證服務器的綜合時間信息，所述身份認證服務器的綜合時間信息為一數字；取所述身份認證服務器的綜合時間信息的個位數字作為所述身份認證服務器的組合模式生成因子；根據第二預定對應關系基于所述身份認證服務器的組合模式生成因子獲得動態口令生成組合模式；基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得所述身份認證服務器的合并口令；將所述身份認證服務器的合并口令與所述身份認證服務器接收到的用戶錄入的合并口令進行匹配，匹配成功則判斷用戶為合法用戶，匹配失敗則判斷用戶為非法用戶；
[0044]其中，在步驟106之后，所述認證窗口還可設置預定時間窗口，在所述預定時間窗口內所述身份認證服務器未向所述認證窗口返回認證結果時，所述認證窗口提醒用戶重新輸入所述合并口令；以及當所述身份認證服務器向所述認證窗口返回認證結果多次為非法用戶時，所述認證窗口可自動鎖定，禁止用戶在當天繼續輸入所述合并口令。
[0045]其中，所述動態口令生成組合模式包括靜態加時間同步模式、靜態加事件同步模式、靜態加挑戰應答模式、時間同步加事件同步模式、時間同步加挑戰應答模式和事件同步加挑戰應答模式；所述第一預定算法與所述第二預定算法的算法相同，所述第一預定對應關系與所述第二預定對應關系相同；所述第一預定對應關系可選擇為，當所述組合模式生成因子為O時，所述動態口令生成組合模式為靜態加時間同步模式，當所述組合模式生成因子為I或2時，所述動態口令生成組合模式為靜態加事件同步模式，當所述組合模式生成因子為3或4時，所述動態口令生成組合模式為靜態加挑戰應答模式，當所述組合模式生成因子為5或6時，所述動態口令生成組合模式為時間同步加事件同步模式，當所述組合模式生成因子為7或8時，所述動態口令生成組合模式為時間同步加挑戰應答模式，當所述組合模式生成因子為9時，所述動態口令生成組合模式為事件同步加挑戰應答模式。
[0046]另外，為了使得硬件令牌端和身份認證服務器端生成的兩個合并口令一直相同，必須保障硬件令牌端和身份認證服務器端的系統時間嚴格同步，一般二者的系統時間差來源有兩種:1)硬件令牌裝置的時間是由晶振模塊產生的，晶振模塊存在偏差，盡管晶振模塊偏差的幅度不同，但這部分的偏差都是正向的；2)用戶輸入動態口令到動態口令被服務器接收，這之間也存在時間偏差。這部分的時間偏差主要是由用戶輸入延遲、網絡傳輸延遲所造成的。可以采用時間補償方式對身份認證服務器端的系統時間進行補償，以實現二者系統時間的同步，有效克服上述問題。
[0047]接著，繼續參考圖2對本發明進行說明，圖2為根據本發明實施方案示出的基于動態口令的電子鑒權系統的結構方框圖，所述電子鑒權系統包括硬件令牌201、認證終端202、身份認證服務器203和通信網絡204，所述硬件令牌201包括顯示器，顯示基于組合模式的動態口令生成方法所生成的動態口令，所述動態口令為一合并口令，所述認證終端202顯示認證窗口，供用戶輸入所述硬件令牌201顯示的動態口令，所述認證終端202通過通信網絡204與身份認證服務器203連接，將用戶輸入的動態口令發送給身份認證服務器203端，所述身份認證服務器203同時自身根據相同的動態口令生成方法生成另一個動態口令，以實現兩個動態口令的匹配，身份認證服務器203將匹配結果返回給認證終端202，以告知認證終端當前用戶是否為合法用戶，從而完成電子鑒權。
[0048]采用本發明的基于組合模式的動態口令生成方法，針對現有動態口令生成模式固定易于破解的技術問題，采用隨系統時間變化的動態口令組合生成模式，隨時改變組合生成模式，使得破解人員難于尋找動態口令的生成規律，保障基于動態口令的電子鑒權的安全性。
[0049]可以理解的是，雖然本發明已以較佳實施例披露如上，然而上述實施例并非用以限定本發明。對于任何熟悉本領域的技術人員而言，在不脫離本發明技術方案范圍情況下，都可利用上述揭示的技術內容對本發明技術方案做出許多可能的變動和修飾，或修改為等同變化的等效實施例。因此，凡是未脫離本發明技術方案的內容，依據本發明的技術實質對以上實施例所做的任何簡單修改、等同變化及修飾，均仍屬于本發明技術方案保護的范圍內。
【權利要求】
1.一種基于組合模式的動態口令生成方法，其特征在于，所述動態口令生成方法包括: 獲得硬件令牌的系統時間，所述系統時間包括日期信息、小時信息和分鐘信息； 對所述日期信息、所述小時信息和所述分鐘信息進行第一預定算法計算，獲得綜合時間信息，所述綜合時間信息為一數字； 取所述綜合時間信息的個位數字作為組合模式生成因子； 根據第一預定對應關系基于所述組合模式生成因子獲得動態口令生成組合模式；基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得合并口令； 所述硬件令牌的顯示器顯示所述合并口令； 用戶將所述合并口令錄入到身份認證服務器的認證窗口中； 身份認證服務器根據用戶錄入的合并口令對用戶身份進行認證； 所述身份認證服務器向所述認證窗口返回認證結果； 其中，所述身份認證服務器根據用戶錄入的合并口令對用戶身份進行認證包括: 所述身份認證服務器獲得所述身份認證服務器的系統時間，所述身份認證服務器的系統時間包括日期信息、小時信息和分鐘信息； 對所述日期信息、所述小時信息和所述分鐘信息進行第二預定算法計算，獲得所述身份認證服務器的綜合時間信息，所述身份認證服務器的綜合時間信息為一數字； 取所述身份認證服務器的綜合時間信息的個位數字作為所述身份認證服務器的組合模式生成因子； 根據第二預定對應關系基于所述身份認證服務器的組合模式生成因子獲得動態口令生成組合模式； 基于獲得的動態口令生成組合模式生成兩個序列的口令，并將所述兩個序列的口令合并為一個序列，以獲得所述身份認證服務器的合并口令； 將所述身份認證服務器的合并口令與所述身份認證服務器接收到的用戶錄入的合并口令進行匹配，匹配成功則判斷用戶為合法用戶，匹配失敗則判斷用戶為非法用戶； 其中，所述動態口令生成組合模式包括靜態加時間同步模式、靜態加事件同步模式、靜態加挑戰應答模式、時間同步加事件同步模式、時間同步加挑戰應答模式和事件同步加挑戰應答模式； 其中，所述第一預定算法與所述第二預定算法的算法相同，所述第一預定對應關系與所述第二預定對應關系相同。
2.如權利要求1所述的基于組合模式的動態口令生成方法，其特征在于，還包括: 在用戶將所述合并口令錄入到身份認證服務器的認證窗口中之后，所述認證窗口設置預定時間窗口，在所述預定時間窗口內所述身份認證服務器未向所述認證窗口返回認證結果時，所述認證窗口提醒用戶重新輸入所述合并口令。
3.如權利要求1所述的基于組合模式的動態口令生成方法，其特征在于，還包括: 當所述身份認證服務器向所述認證窗口返回認證結果多次為非法用戶時，所述認證窗口鎖定，禁止用戶在當天繼續輸入所述合并口令。
4.如權利要求1所述的基于組合模式的動態口令生成方法，其特征在于: 所述第一預定算法為同或、異或、加法或減法運算中的一種。
5.如權利要求1所述的基于組合模式的動態口令生成方法，其特征在于: 所述第一預定對應關系為，當所述組合模式生成因子為O時，所述動態口令生成組合模式為靜態加時間同步模式，當所述組合模式生成因子為I或2時，所述動態口令生成組合模式為靜態加事件同步模式，當所述組合模式生成因子為3或4時，所述動態口令生成組合模式為靜態加挑戰應答模式，當所述組合模式生成因子為5或6時，所述動態口令生成組合模式為時間同步加事件同步模式，當所述組合模式生成因子為7或8時，所述動態口令生成組合模式為時間同步加挑戰應答模式，當所述組合模式生成因子為9時，所述動態口令生成組合模式為事件同步加挑戰應答模式。
【文檔編號】H04L9/32GK104378204SQ201410160099
【公開日】2015年2月25日 申請日期:2014年4月21日 優先權日:2014年4月21日
【發明者】不公告發明人 申請人:無錫北斗星通信息科技有限公司